Мережа Find My від Apple може використовуватися хакерами для відстеження будь-яких Bluetooth-пристроїв

Знайомий користувачам техніки Apple сервіс Find My загалом використовується для пошуку пристроїв компанії. Тобто, наприклад, дозволяє знайти загублений iPhone чи стежити за валізою за допомогою AirTag. Виявилося, що він також може використовуватися зловмисниками для відстеження будь-яких пристроїв з увімкненим Bluetooth.

Проблему виявили дослідники Університету Джорджа Мейсона, розповідає видання 9to5Mac. Їм вдалося знайти спосіб перетворення будь-якого пристрою на AirTag навіть без відома власника. Це відбувається через Bluetooth, який використовується трекером для сповіщення власника про своє місцеперебування. Сигнал від трекера у зашифрованому вигляді передається на інші пристрої поблизу, що фіксується сервером Apple.

Таким чином мережа Find My створена з усіх підтримуваних ґаджетів компанії. Й дослідникам вдалося перехопити сигнал будь-якого Bluetooth-пристрою з підбором необхідного ключа, навіть попри наявне шифрування, хоча й для цього знадобилися сотні відеоприскорювачів.

В наведених прикладах це дозволило відстежувати переміщення лептопа велосипедиста в місті з точністю до трьох метрів, а також відтворити маршрут польоту користувача відстежуючи його ігрову консоль.

Експройт отримав назву nRootTag, він не вимагає "складної ескалації привілеїв адміністратора" та продемонстрував ефективність у 90%.

"Страшно, коли ваш «розумний» замок зламують, але ще страшніше, якщо зловмисник знає його місцеперебування. За допомогою методу атаки, який ми представили, зловмисник може досягти цього" — сказав один з дослідників.

У липні 2024 року компанію Apple повідомили про можливий злам, однак конкретного рішення проблеми наразі не було представлено. Дослідники вважають, що на це можуть піти роки, адже навіть з виходом оновлення безпеки не всі користувачі одразу встановлять апдейти. Наразі вони радять не надавати доступ до Bluetooth застосункам, яким він може бути не потрібен та завжди стежити за оновленнями безпеки.